Вот задался таким вопросом и пока не могу найти ответа, а реально ли сделать авторизацию на каком-либо сайте, например mail.ru и т.д. путём кражи cookies у жертвы !
Смысл вот какой, многие сайты, в частности этот форум например, позволяет запоминать посетителей (Кнопочка "запомнить" при авторизации), это позволяет пользователям входить без авторизации...
Так вот, а что, если у таких пользователей своруют cookies при помощи трояна, или xss уязвимости, реально-ли авторизоваться, или там привязка ещё к MAK-адресу и какая-то дополнительная привязка к браузеру есть ?
Кто-нить размышлял на эту тему, какие мысли, если краденные cookies действительно можно использовать для авторизации, то это очень плохо, по сути тогда к любому ящику можно получить доступ, а способ как спереть cookies у жертвы, всегда можно найти...
Смысл вот какой, многие сайты, в частности этот форум например, позволяет запоминать посетителей (Кнопочка "запомнить" при авторизации), это позволяет пользователям входить без авторизации...
Так вот, а что, если у таких пользователей своруют cookies при помощи трояна, или xss уязвимости, реально-ли авторизоваться, или там привязка ещё к MAK-адресу и какая-то дополнительная привязка к браузеру есть ?
Кто-нить размышлял на эту тему, какие мысли, если краденные cookies действительно можно использовать для авторизации, то это очень плохо, по сути тогда к любому ящику можно получить доступ, а способ как спереть cookies у жертвы, всегда можно найти...